Fall inte i stränginterpolationsfällan! Det är inte säkert.
Du kan använda riktiga SQL-frågeparametrar även i ASP Classic.
Jag är inte en ASP-programmerare, men jag hittade den här bloggen med ett tydligt exempel på att använda ett ADODB.Command-objekt för en parameteriserad SQL-fråga och binda värden till parametrar innan exekvering.
http://securestate.blogspot.com/2008 /09/classic-asp-sql-injection-prevention_30.html
Se även den här SO-frågan för några fler exempel på användning av namngivna parametrar:
ASP Klassisk namngiven parameter i paramatiserad fråga:Måste deklarera den skalära variabeln